【正文】 通性存在問題。 . H3C IT 綜合管理解決方案 管理系統(tǒng)提供 IT 系統(tǒng)監(jiān)控管理功能，管理范圍包括服務(wù)器系統(tǒng)軟硬件、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件、終端 PC 的運(yùn)行狀態(tài)，通過多角度視圖、告警、報(bào)表、SLA 管理等多種手段監(jiān)視您的整個(gè) IT 基礎(chǔ)結(jié)構(gòu)，并可以集中進(jìn)行管理、控制，使系統(tǒng)管理員實(shí)現(xiàn)真正 IT 管理。 iMC 系統(tǒng)的主要特點(diǎn) 有： 業(yè)務(wù)流程（ Business Process） 傳統(tǒng)網(wǎng)絡(luò)管理產(chǎn)品往往提供給客戶的是一個(gè)個(gè)面向故障、性能、安全、配置等內(nèi)容的割裂工具軟件，但如何利用這些工具和滿足客戶實(shí)際管理需求之間存在著巨大的“鴻溝”，正是此導(dǎo)致了業(yè)界“有工具，無管理”的現(xiàn)狀。 端點(diǎn)安全準(zhǔn)入管理 在身份接入基礎(chǔ)上，支持終端安 全準(zhǔn)入控制，支持安全狀態(tài)評(píng)估、網(wǎng)絡(luò)中安全威脅定位、安全事件感知及保護(hù)措施執(zhí)行等，預(yù)防因未打補(bǔ)丁、病毒泛濫、 ARP攻擊、異常流量、非法軟件安裝和運(yùn)行等因素可能帶來的安全威脅，并可根據(jù)終端的安全狀態(tài)實(shí)現(xiàn)終端下線、隔離、提醒、監(jiān)控等多種控制策略。用戶可以獲得全面的無線業(yè)務(wù)管理能力，實(shí)現(xiàn) AC、 FAT AP、 FIT AP、移動(dòng)終端等無線設(shè)備的集中管理，提供資源分組、無線拓?fù)涔δ?，?duì)全網(wǎng)無線設(shè)備進(jìn)行直觀有效的組織；此外，策略模板等功能實(shí)現(xiàn)網(wǎng)絡(luò)和設(shè)備的批量配置，提升效率，降低維護(hù)工作量，降低維護(hù)成本。 . 系統(tǒng)結(jié)構(gòu) 以用戶為本，靈活分配資源，迅速響應(yīng)業(yè)務(wù)目標(biāo)的變化是 H3C iMC 系統(tǒng)結(jié)構(gòu)設(shè)計(jì)的出發(fā)點(diǎn)，從而保證了整個(gè)系統(tǒng)結(jié)構(gòu)可以適應(yīng)業(yè)務(wù)擴(kuò)展、業(yè)務(wù)變更，進(jìn)而滿足業(yè)務(wù)流程再造的應(yīng)用需求： 通過平臺(tái) +組件化設(shè)計(jì)，平臺(tái)框架實(shí)現(xiàn)了資源的統(tǒng)一管理和訪問控制，不同業(yè)務(wù)獨(dú)立設(shè)計(jì)，形成可擴(kuò)展的組件設(shè)計(jì)模式，提供業(yè)務(wù)擴(kuò)展能力； 不同功能組件之間實(shí)現(xiàn)融合聯(lián)動(dòng)，功能組件不再獨(dú)立支撐業(yè)務(wù)，而為客戶提供更實(shí)用的業(yè)務(wù)支撐； 按照客戶所需進(jìn)行組合裝配，通過業(yè)務(wù) 流程完成整個(gè)網(wǎng)絡(luò)管理和運(yùn)維； 基于 SOA 架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)資源訪問層、業(yè)務(wù)邏輯層和應(yīng)用表示層分層實(shí)現(xiàn)，每一層可以對(duì)外提供接口，具備系統(tǒng)集成能力； H3C 智能管理中心 解決方案 架構(gòu) . 主要功能 基礎(chǔ)資源管理 全網(wǎng)資源的統(tǒng)一部署、管理和調(diào)配中心，包括對(duì)路由器、交換機(jī)、安全、無線、語音、存儲(chǔ)、服務(wù)器、 PC、 UPS 等設(shè)備類型，實(shí)現(xiàn)了故障、性能、拓?fù)洹⑴渲玫裙芾韮?nèi)容，成為業(yè)務(wù)融合聯(lián)動(dòng)的基礎(chǔ)。通過 iMC 能夠靈活組織功能組件，可以形成直接面向客戶需求的業(yè)務(wù)流解決方案，從根本上解決管理的復(fù)雜性問題。 在 XX 單位 主數(shù)據(jù)中心設(shè)置面向各應(yīng)用系統(tǒng)的存儲(chǔ)池，在同城和異地分別設(shè)置災(zāi)備中心和備份中心。 . 數(shù)據(jù)中心安全解決方案實(shí)現(xiàn)方案總結(jié) 數(shù)據(jù)中心安全方案要點(diǎn)總結(jié)： ? 數(shù)據(jù)中心同廣域網(wǎng)和辦公局域網(wǎng)之間設(shè)置防火墻、 IPS； ? 各業(yè)務(wù)功能區(qū)匯聚交換機(jī)設(shè)置防火墻、 IPS、負(fù)載均衡、 VPN 加密插卡； ? 在外連區(qū) 網(wǎng)絡(luò)邊緣設(shè)置獨(dú)立防火墻、 IPS、應(yīng)用控制網(wǎng)關(guān) ； ? 在系統(tǒng)管理區(qū)設(shè)置綜合安全管理系統(tǒng)，安全認(rèn)證系統(tǒng)，防病毒管理，用戶行為分析等。 高效的安全解決方案不僅僅在于當(dāng)安全事件發(fā)生時(shí)，我們能夠迅速察覺、準(zhǔn)確定位，更重要的是我們能夠及時(shí)制定合理的、一致的、完備的安全策略，并最大限度的利用現(xiàn)有網(wǎng)絡(luò)安全資源，通過智能分析和協(xié)同響應(yīng)及時(shí)應(yīng)對(duì)各種真正的網(wǎng)絡(luò)攻擊。為了實(shí)時(shí)、全面地獲取網(wǎng)絡(luò)安全信息，必須解決網(wǎng)絡(luò)安全管理中的事件透明性問題，讓管理員可以監(jiān)控到網(wǎng)絡(luò)中每個(gè)設(shè)備的運(yùn)行狀態(tài)， 為網(wǎng)絡(luò)安全分析與決策提供支持。 ? 網(wǎng)絡(luò)安全專家匱乏，沒有足夠的人員去監(jiān)控、分析、解決問題。對(duì)于所有的安全檢測(cè)點(diǎn)，如果沒有一個(gè)集中的分析視角，你可能低估某個(gè)安全攻擊的真正威脅，相應(yīng)采取的安全措施也可能無法解決真正的問題。擴(kuò)展性、靈活性、高性能、可靠性和安全性 ， 無一不是 對(duì) 數(shù)據(jù)中心的要求 。同時(shí)，不論是軟、硬件實(shí)現(xiàn)， FIRST 引擎都采用了流水線與大規(guī)模并行處理機(jī)制，保證檢測(cè)效率與檢測(cè)特征數(shù)量無線性關(guān)系，可以對(duì)一個(gè)報(bào)文流 同時(shí)進(jìn)行幾千種攻擊特征和幾千種協(xié)議特征的并行匹配檢測(cè)，從而將整體的處理性能提高到空前水平。而 H3C IPS 運(yùn)用重組 TCP 流量以檢視應(yīng)用層數(shù)據(jù)包內(nèi)容的方式，以辨識(shí)合法與惡意的數(shù)據(jù)流。 面對(duì)這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在 TCP/IP 3～ 4層上，根本就“看”不 到這些威脅的存在，而 IDS 作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。 H3C SecPath 防火墻提供了基于安全區(qū)域的隔 離模型，每個(gè)安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口，因此SecPath 的安全管理模型是不會(huì)受到網(wǎng)絡(luò)拓?fù)涞挠绊憽? . 網(wǎng)絡(luò)層安全設(shè)計(jì) 邊界安全的一項(xiàng)主要功能是實(shí) 現(xiàn)網(wǎng)絡(luò)隔離，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離。 ? 完備的安全狀態(tài)評(píng)估 根據(jù)管理員配置的安全策略，用戶可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿足客戶的 需 求， EAD 客戶端支持和微軟 SMS、 LANDesk、 BigFix 等業(yè)界桌面安全產(chǎn)品的配合 使用 ，支持和瑞星、江民、金山、 Symantec、 MacAfee、Trend Micro、 安博士、卡巴斯 基 等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。 EAD 解決方案對(duì)用戶網(wǎng)絡(luò)準(zhǔn)入的整體認(rèn)證過程如下圖所示： （ 2）、 EAD 系統(tǒng) 組網(wǎng) 部署 如下圖所示， EAD 組網(wǎng)模型圖中包括安全客戶端、安全聯(lián)動(dòng)設(shè)備、 H3C iMC CAMS 安全策略服務(wù)器和第三方服務(wù)器 ： ? 安全客戶端 是指安裝了 H3C iNode 智能 客戶端的用戶接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起和安全策略的檢查。但這種方法會(huì)消耗掉許多 ACL 資源。 （ 2）、 接入設(shè)備防御 ： 利用 DHCP SNOOPING 特性，接入設(shè)備通過監(jiān)控其端口接收到的 DHCP request、 ACK、 release 報(bào)文，也可以形成一張端口下 IP、 MAC的映射表。比如繞過利用源 IP 做的接入控制。對(duì)于不能通過安全模式學(xué)習(xí)到源 MAC 地址的報(bào)文或 認(rèn)證失敗的設(shè)備，當(dāng)發(fā)現(xiàn)非法報(bào)文后，系統(tǒng)將觸發(fā)相應(yīng)特性，并按照預(yù)先指定的方式自動(dòng)進(jìn)行處理，減少了用戶的維護(hù)工作量，極大地提高了系統(tǒng)的安全性和可管理性。COMWARE 可應(yīng)用在分布式或集中式的網(wǎng)絡(luò)設(shè)備構(gòu)架之上，也就是說，不僅可以運(yùn)行在高端的交換機(jī) /路由器上，而且也可以運(yùn)行在中低端的交換機(jī) /路由器上，不向其它廠商，不同的軟件運(yùn)行在不同的設(shè)備上。 H3C 基于 SecCenter 和 iMC 的智能防御體系 H3C 全局安全管理平臺(tái) 旨在集中部署網(wǎng)絡(luò)安全 防護(hù) 策略，簡(jiǎn)化對(duì)安全部件的管理，確保網(wǎng)絡(luò)安全策略的統(tǒng)一；廣泛采集與分析來自于計(jì)算機(jī)、網(wǎng)絡(luò)、存儲(chǔ)、安全等設(shè)施的告警事件，通過關(guān)聯(lián)來自于不同地點(diǎn)、不同層次、不同類型的安全事件，發(fā)現(xiàn)真正的安全風(fēng)險(xiǎn)，提高安全報(bào)警的信噪比；準(zhǔn)確的、實(shí)時(shí)的評(píng)估當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)和風(fēng)險(xiǎn)，并根據(jù)預(yù)先制定的策略做出快速響應(yīng)。服務(wù)器資源是數(shù)據(jù)中心的核心，多層架構(gòu)把應(yīng)用服務(wù)器分解成可管理的、安 全的層次。 . XX 單位 數(shù)據(jù)中心整體安全規(guī)劃 H3C 數(shù)據(jù)中心安全解決方案的技術(shù)特色可概括為： ? 27 層防御 ? 分區(qū)分層部署 ? 統(tǒng)一管理、智能聯(lián)動(dòng) ? 27層防御： 以數(shù)據(jù)中心服務(wù)器資源為核心向外延伸有三重保護(hù)功能。 o 企業(yè)安全性這一層的安全性解決方案主要集中于保護(hù)技術(shù)設(shè)施不受物理和邏輯上的攻擊，其他主要集中方面是基礎(chǔ)設(shè)施和應(yīng)用的監(jiān)控和管理。主數(shù)據(jù)中心同同城災(zāi)備中心 /異地災(zāi)備中心之間采用 4M 以上帶寬，保證網(wǎng)絡(luò)通信數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)傳輸。 在外聯(lián)區(qū)部署匯聚交換機(jī)對(duì)多臺(tái)外聯(lián)路由器進(jìn)行匯聚；在匯聚 交換機(jī)上部署集成式防火墻 、 IPS、應(yīng)用控制網(wǎng)關(guān)模塊 具有三大優(yōu)勢(shì)： ? 只需部署一道防火墻，減少設(shè)備數(shù)量，無需部署多臺(tái)、多層防火墻； ? 性能高、策略集中控制、簡(jiǎn)化部署和維護(hù)； ? 一道防火墻可同時(shí)對(duì)三個(gè)方向的數(shù)據(jù)流進(jìn)行控制：外聯(lián)之間互訪、外部合作伙伴訪問外聯(lián)服務(wù)器、外聯(lián)服務(wù)器訪問核心區(qū) 廣域網(wǎng)接入?yún)^(qū)為下屬 XX 單位 訪問數(shù)據(jù)中心提供網(wǎng)絡(luò)接入，該區(qū)域需要部署高性能、特性豐富的路由器，并采用雙設(shè)備雙鏈路雙歸屬部署。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)、安全、設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)等的管理維護(hù)； ? 所有主機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等單獨(dú)組建 KVM 管理網(wǎng)，也連接到該區(qū)，以便能夠直接操作到所有的設(shè)備； ? 安全管理中心，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)安全事件監(jiān)管 該區(qū)部署 2 臺(tái)匯聚交換機(jī)＋防火墻模塊和多臺(tái)接入交換機(jī)。 XX 單位 在實(shí)現(xiàn) 2 地 3 中心方式上有兩種方案，方案 1：同樣設(shè)置同城 災(zāi)備和異地備份中心；方案 2：設(shè)置同城災(zāi)備中心，但共用部 XX 單位 異地備份中心。統(tǒng)一設(shè)置建設(shè)的 SAN 存儲(chǔ)系統(tǒng)方便實(shí)現(xiàn)本地備份，同城和異地備份、容災(zāi)，避免各業(yè)務(wù)系統(tǒng)各自單獨(dú)建設(shè)存儲(chǔ)系統(tǒng)、備份和容災(zāi)系統(tǒng)。 因此， XX 單位 數(shù)據(jù)中心方案建議采用統(tǒng)一交換架構(gòu)的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)。 適合于數(shù)據(jù)中心需要的無丟包以太網(wǎng)技術(shù)標(biāo)準(zhǔn)族（ 、 、 Data Center Bridging Exchange Protocol）和相關(guān)技術(shù)已經(jīng)發(fā)布。 ? 易管理性： 網(wǎng)絡(luò)系統(tǒng)覆蓋整個(gè)數(shù)據(jù)中心，能否對(duì)其進(jìn)行高效的管理和維護(hù)將直接影響業(yè)務(wù)系統(tǒng)的運(yùn)作，因此需 要采用智能管理技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控和管理。當(dāng)今，企業(yè)關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時(shí)候都更為重要。各 XX 單位 同部 XX 單位 之間實(shí)現(xiàn)數(shù)據(jù)交互，兩級(jí)數(shù)據(jù)中心存在緊密聯(lián)系。 XX 單位 信息化發(fā)展趨勢(shì) 統(tǒng)一規(guī)劃、 統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一規(guī)范 ，實(shí)現(xiàn) 船員、船舶、航道、應(yīng)急、綜合管理等全國(guó)一體化， 全國(guó) XX 單位 信息 化 資源進(jìn)行 整合， 信息數(shù)據(jù)充分共享， 并同其他相關(guān)部門緊密集成，全國(guó)管理、應(yīng)急處理一體化，為 XX 單位 政策決策提供依據(jù) 。 XX 單位 信息化 相關(guān) 建設(shè)關(guān)注點(diǎn)： 信息化 建設(shè) 相關(guān)內(nèi)容 關(guān)注點(diǎn) XX 單位 信息化數(shù)據(jù)共享 跨部門協(xié)同工作 XX 單位 內(nèi)部、交通廳局行政主管部門等數(shù)據(jù)充分共享挖掘，決策支持消除信息孤島，數(shù)據(jù)大集中建設(shè)勢(shì)在必行。 實(shí)現(xiàn)船舶自動(dòng)識(shí)別系統(tǒng) AIS 等。 信息化資源整合方案建議書 目 錄 XX單位信息化需求 ............................................................................................. 3 XX單位信息化現(xiàn)狀總結(jié) ...................................................................................... 4 XX 單位信息化發(fā)展趨勢(shì) .................................................................................... 5 XX 單位信息化資源整合解決方案 ...................................................................... 5 . 兩級(jí)數(shù)據(jù)中心，兩地三中心建設(shè)模式 ........................................................... 6 . 數(shù) 據(jù)中心建設(shè)主要關(guān)注點(diǎn)及技術(shù)路線選擇 .................................................... 7 . 數(shù)據(jù)中心建設(shè)關(guān)注點(diǎn) ............................................................................ 7 . 統(tǒng)一交換架構(gòu)技術(shù)路線 ......................................................................... 8 . XX單位數(shù)據(jù)中心整體架構(gòu) ........................................................................... 9 . XX單位數(shù)據(jù)中心各功能區(qū)方案 .................................................................. 11 . 數(shù)據(jù)大集中廣域網(wǎng)整合方案 ....................................................................... 15 . 數(shù)據(jù)中心安全系統(tǒng)建設(shè)方案 ....................................................................... 15 . XX單位數(shù)據(jù)中心整體安全規(guī)劃 ........................................................... 17 . 基礎(chǔ)網(wǎng)絡(luò)安全設(shè)計(jì) .............................................................................. 19